Encryption versus spionaggio: ecco dove l’Nsa vince e perde
admin
Fonte: http://www.ictbusiness.it/cont/news/encryption-versus-spionaggio-ecco-dove-l-nsa-vince-e-perde/33734/1.html#.VKiKesnSO7Y
Un report confidenziale di Edward Snowden, svelato da Der Spiegel, elenca le tecnologie di crittografia che nel 2012 ancora rappresentavano un problema per i programmi di spionaggio della National Security Agency statunitese. Tra i più ostici, la rete Tor e i file protetti da software open source.
L’encryption può fermare gli spioni della Nsa? Non sempre. L’ultima delle barriere erette a difesa della privacy – di aziende, governi e di chi usa Internet, l’e-commerce, i servizi di VoIp e qualsiasi altra tecnologia basata sulla Rete – è ancora in piedi, ma spesso è facilmente valicabile. Un report confidenziale tratto dagli archivi personali di Edward Snowden, la “talpa” dello scandalo Datagate, è passato fra le mani di alcuni ricercatori, analisti e programmatori schierati a difesa della riservatezza dei dati personali, e diventato oggetto di un articolo di Der Spiegel nonché di un recente convegno svoltosi ad Amburgo, la Chaos Computer Club Conference.
Ebbene, l’encryption è ancora un metodo di difesa utile, il più utile, sebbene costellato di punti deboli e facili brecce. Dal documento confidenziale, datato 2012, emerge come due anni fa la National Security Agency avesse classificato alcune tecnologie crittografiche secondo cinque “livelli di difficoltà”, in una scala che va da “irrilevante” a “catastrofico”. Per gli esperti di decryption dell’agenzia statunitense, tracciare il percorso di un documento attraverso il Web rappresenta un problema da nulla, mentre si mentre si sale di un gradino (“difficoltà lieve”) quando si tratta di intercettare le conversazioni di una chat di Facebook.
Decifrare messaggi di posta elettronica inviati attraverso il provider russo mail.ru rappresenta, o rappresentava nel 2012, una “difficoltà moderata”. I problemi veri arrivano al quarto livello, bollato come “difficoltà importante”: decifrare email scambiate attraverso provider come Zoho, usato oggi da circa 10 milioni di utenti aziendali, oppure monitorare gli utenti che navigano con Tor, The Onion Router.
Anche i programmi di crittografia basati su progetti open source, come Truecrypt, costituiscono un grattacapo serio per la Nsa, dal momento che per le agenzie di intelligence è più difficile installare dei back door su applicazioni il cui codice è visibile all’intera comunità degli sviluppatori, piuttosto che su programmi creati dai vendor. Stesso discorso vale per Off-the-Record, Otr, un protocollo open source per la crittografia end-to-end delle conversazioni di messaggistica istantanea. Nel singolo caso di Truecrypt è però opportuno parlare al passato: la scorsa primavera i creatori hanno annunciato la fine del supporto e dell'aggiornamento del software.
Proseguendo fino all'ultimo gradino della classifica, la Nsa si imbatte in un ostacolo di difficoltà “catastrofica” quando deve espugnare un contenuto protetto da una combinazione di più tecnologie salva-privacy, per esempio Tor, un secondo servizio di anonimizzazione della navigazione, il sistema di instant messaging CSpaze e Zrtp (usato per crittografare conversazioni telefoniche e chat su dispositivi mobili). Un tale incastro di metodi di difesa produce “una quasi totale perdita o insignificanza di visibilitù sulle comunicazioni target”, si legge nel documento.
Fin qui le buone, o discrete notizie per i difensori della privacy, le aziende e i comuni utenti sottoposti all’opera di intelligence della Nsa e di altre agenzie statali (l’articolo di Der Spiegel cita l’alleanza Five Eyes, composta dai servizi segreti statunitensa, britannico, canadese, australiano e neozelandese). Le notizie cattive, anche se non inaspettate, riguardano invece le reti Vpn e il protocollo Internet Https.
Il “tunnel” per lo scambio dei dati creato dai Virtual Private Network è, sì, protetto dalla crittografia, ma può fare poco di fronte al progetto di intercettazione delle Vpn su larga scala della Nsa. Fra gli obiettivi, l’agenzia destinava un team di dodici persone all’opera di decifraggio dell comunicazioni Vpn dei funzionari del governo greco, e simili attività erano dedicate al servizio SecurityKiss, usato in Irlanda. A fine 2011, a detta del documento, la Nationa Security Agency sorvegliava in contemporanea circa 20mila comunicazioni Vpn all’ora.
Der Spiegel sottolinea infine come le pagine Web marchiate come Https – tipicamente, tutte quelle in cui si effettuano operazioni di online banking, acquisti online o accessi ad account di posta elettronica – siano tutto tranne che sicure. A fine 2012, stando al documento trapelato, la Nsa intercettava circa 10 milioni di connessioni Https al giorno.
Nota di colore (ma non solo): è di questi giorni la notizia che i dipendenti della Nsa avrebbero portato avanti per un decennio anche un'opera di "spionaggio privato" o di "intelligence d'amore", come l'anno ribattezzata i media italiani. Da alcuni documenti diffusi prima di Natale dalla stessa Nsa, in seguito a una richiesta avanzata dalla American Civil Liberties Union, è emerso come per oltre dieci anni “quasi interamente in segreto e senza supervisione legislativa o giudiziale” siano stati spiati familiari, mariti, fidanzati e amanti a scopi puramente privati e non certo giustificabili da ragioni di sicurezza o di indagine. Gossip o ulteriore segno della sistematica e arbitraria violazione della privacy del singolo?
Pubblicato il 29 dicembre 2014 da Valentina Bernocco
